Boorberg Verlag

Patch Management – Sicherheitslücken schließen (II)

04.09.2014 Teil II

Teil II

Sicherheitslücken in installierten Programmen können dazu führen, dass sich Angreifer Zugang zu einem PC verschaffen. Dadurch sind sie in der Lage, Dateien auf dem PC zu speichern, Programmcodes auszuführen oder andere Rechner im Netzwerk zu übernehmen. Im schlimmsten Fall können der Verlust der Daten oder irreparable Systemschäden das Ergebnis sein. Sogenannte Patches helfen dabei, diese Lücken zu schließen.

Nach dem ersten Teil, befasst sich der zweite Teil des Beitrags nun damit, wie Patch-Management-Systeme gezielt in Unternehmen anzuwenden sind.

Patch-Management-Anwendung in Unternehmen

Bei der Installation von Patch-Management-Systemen im Unternehmen ist generell ein höheres Maß an Kontrolle erforderlich als im Heimanwenderbereich. Werden für jedes installierte Programm die Mechanismen genutzt, die der jeweilige Hersteller vorsieht, ist das Ergebnis ein chaotischer Zustand, in dem einige Clients andere Versionen eines Programms nutzen als andere. Eine zentral verwaltete Updateverteilung bietet für jedes Unternehmensnetzwerk Vorteile, da die Bedienung vereinfacht und auf neue Sicherheitslücken schnell reagiert werden kann. Es gibt jedoch Unterschiede zwischen Firmennetzwerken. Patch-Management in einem großen Unternehmensnetzwerk unterscheidet sich vom Patch-Management in einem Kleinunternehmen.

Je nach Größe des Netzwerkes kann es verschiedene Clientgruppen geben, von denen jede eine andere Funktion und Konfiguration hat. Während einige Gruppen direkt mit jedem Patch versorgt werden können, erfordern andere Gruppen eingehende Tests der jeweiligen Patches.

Clients mit Standardprogrammen wie Microsoft Office und installiertem Browser, wie sie in Backoffice-Bereichen zur Anwendung kommen, können problemlos gepatcht werden; einige andere Gruppen benötigen aber möglicherweise eine stabile unveränderliche Umgebung. Dies betrifft in der Regel Rechner, die in der Qualitätssicherung oder Abteilungen mit ähnlicher Funktion stehen. Diese Rechner bedürfen besonderer Sorgfalt oder müssen manuell behandelt werden.

Personal- und Budgetmangel sind die häufigsten Herausforderungen in kleinen und mittelständischen Unternehmen, die die Schaffung einer detaillierten und dauerhaft laufenden Patch-Management-Prozedur, in der aktuelle Patches annähernd in Echtzeit verteilt werden, verhindern. Gleichzeitig sind es aber gerade diese Unternehmen, die oft Ziel von Online-Kriminellen sind.

Kleinere Unternehmen haben wesentlich weniger Abteilungen und somit auch weniger Unterschiede in der Clientkonfiguration. Ebenso wie in einer größeren Netzwerkumgebung ist es jedoch erforderlich, etwas Zeit in eine genaue Aufstellung des Netzwerks sowie deren unterschiedliche Clienttypen zu investieren. In kleinen und mittleren Betrieben kann das Netzwerk zumeist in nur zwei oder drei verschiedene Client-Rollen unterteilt werden.

Obgleich kein einziger Schritt ausgelassen wurde, der auch in größeren Netzwerken empfohlen wird, ist ungleich weniger Zeitaufwand notwendig. Der Aufwand kann durch die Standardisierung noch weiter gesenkt werden. Diese Effizienzsteigerung ist vor allem entscheidend für Betriebe, die keinen eigenen Netzwerkadministrator haben. Kleinbetriebe können eine Patch-Management-Software einsetzen, die die meisten Schritte des Patchzyklus automatisiert. Eine solche Patch-Management-Lösung kann es Betrieben ohne IT-Personal ermöglichen, bei installierten Programmen immer auf dem aktuellen Stand zu bleiben. Alternativ bleibt noch die Möglichkeit, die gesamte IT-Betreuung auszulagern.

Als Hilfestellung können Kleinbetriebe eine Checkliste erstellen:

Aktualisierung des Softwareinventars

  • Auflistung aller installierter Programme und Hersteller im gesamten Netzwerk
  • Herausfinden des Updatezyklus der einzelnen Softwarehersteller
  • Priorisierung der installierten Produkte nach Wichtigkeit

Sammeln von Informationen

  • Prüfung auf neue Patches einmal pro Patchzyklus jedes Herstellers

Testen

  • Verfügbare neue Patches auf allen Systemen testen

Verteilung

  • Patches verteilen, installieren und verifizieren

Vorgehensweisen im Patch-Management:

Stufe I: Aktualisierung des Softwareinventars

Der erste Schritt jedes Patch-Management-Zyklus ist die Aktualisierung des Softwareinventars. Dies ist während jedes einzelnen Zyklus zu aktualisieren. Um sicherzustellen, dass alle Maschinen im Netzwerk erfasst werden, gibt es mehrere Methoden. In vielen Unternehmensnetzwerken, in denen Windows Server als Betriebssystem zum Einsatz kommen, wird Active Directory genutzt. Der Domänencontroller kann problemlos eine Liste aller in der Domäne befindlichen Computer erstellen. Hierbei werden jedoch keine Maschinen berücksichtigt, die nicht Teil der Windows Domäne sind.

In kleineren Netzwerken sollte es nicht problematisch sein, alle Computer lückenlos zu erfassen. Ist auf den einzelnen Rechnern die Datei- und Druckerfreigabe aktiv, werden alle Computer in der „Netzwerkumgebung“ des Windows Explorer aufgelistet. Eine besondere Herausforderung stellen virtuelle Maschinen dar, da diese zum Zeitpunkt der Inventarisierung nicht in Betrieb sein können.

Zu den Informationen, die im Zuge der Softwareinventarisierung beschafft werden sollten, gehört die Version des Betriebssystems sowie eine vollständige Liste aller installierten Programme und Patches. Um die Verteilung komplikationsfrei zu gestalten, sollten alle Dienste, die auf einem Clientcomputer laufen, dokumentiert werden. Dabei gilt: je weniger Dienste auf einem Client laufen, desto weniger Dienste können als Angriffspunkt genutzt werden. Auch muss gewährleistet sein, dass eine Administratorenberechtigung vorhanden ist. Ohne diese kann der Patchprozess nicht erfolgreich zum Abschluss gebracht werden.

Für die Aktualisierung der Inventardaten können verschiedene Methoden eingesetzt werden. Ein unkomplizierter Weg ist das Sammeln der notwendigen Informationen mit einem Programm, welches ohne lokal installierte Agent-Komponente auskommt. Der Nachteil besteht darin, dass ausgeschaltete Maschinen oder solche, die nicht dauerhaft mit dem Netzwerk verbunden sind, nur unzureichend geschützt werden können.

PCs, die aus irgendeinem Grund (noch) nicht in den Patch-Management-Zyklus eingebunden sind oder veraltete Programmversionen nutzen, müssen besonders sorgfältig auf Schwachstellen und Infektionen mit Schadsoftware geprüft werden.

Stufe II: Sammeln von Informationen

Der Netzwerkadministrator sollte idealerweise die Softwareversion jedes im Netzwerk installierten Programms kennen und über bekannte Fehler und vorhandene Sicherheitsupdates informiert sein. Dies gilt gleichermaßen für Kleinunternehmen wie für Großbetriebe. Auch wenn ein Kleinunternehmen nicht das Budget zur Verfügung hat, einen Vollzeitadministrator anzustellen, ist das Sammeln von Informationen die Basis für eine angemessene und wirkungsvolle Patch-Management-Richtlinie.

Stufe III: Strategie und Planung

Sowie Informationen über (demnächst) veröffentlichte Patches und Updates beschafft wurden, beginnt die Planungsphase. Die in dieser Phase gesammelten Erkenntnisse sollten in den Patch-Management-Plan einfließen. So steht im Idealfall bereits fest, welche Patches überhaupt und welche Patches zuerst installiert werden.

Unabhängig davon, aus welcher Quelle Informationen zu Patches oder Sicherheitslücken bezogen werden: es wird fast ausnahmslos immer eine Einstufung des Schweregrads angegeben, die Administratoren bei der Entscheidung, ob ein Patch installiert werden soll oder nicht, unterstützen. Allgemein gilt: je ernsthafter eine Schwachstelle ist, umso schneller sollte sie durch die Verteilung eines Patches behoben werden.

Die Einschätzung des Schweregrads basiert auf mehreren Faktoren. Einer davon ist die Verbreitung der Kenntnis von einer Schwachstelle. Wurde die Schwachstelle vom Hersteller selbst gefunden, ist die Chance von Angriffen relativ gering, da sie parallel auch von potentiellen Angreifern hätte entdeckt werden müssen. Wurde eine Schwachstelle jedoch öffentlich gemacht oder hat der Hersteller Daten zu der von einem auf diese Informationen spezialisierten Händler erworben, so hat eine wesentlich größere Gruppe Zugang zu den technischen Details und hatte Gelegenheit, funktionierende Exploits zu erstellen und zur Anwendung zu bringen. In so einem Falle ist der Hersteller gehalten, in so kurzer Zeit wie möglich einen Patch zur Verfügung zu stellen; Administratoren sollten sich hierauf einstellen.

Ein Client, der eine höhere Verwundbarkeit aufweist als andere, sollte öfter und in kürzeren Abständen mit Updates und Patches versorgt werden als Rechner, die keine Berührung mit vertraulichen Informationen haben.

Die Verteilung selbst ist ein recht unkomplizierter Vorgang. Zu allererst muss die Entscheidung fallen, zu welchem Zeitpunkt Patches zu installieren sind. Für sicherheitsrelevante Patches ist die erste Reaktion der meisten Administratoren „Je schneller desto besser“. Als Richtwert kann festgehalten werden: kritische Patches sollten zwischen 48 Stunden und einer Woche nach ihrer Veröffentlichung verteilt sein. Die Verteilung nicht-kritischer Patches kann verzögert erfolgen.

Stufe IV: Testphase

Die Testphase ist der wichtigste Schritt, um Komplikationen zu vermeiden. Auf jeden Fall sollten Patches in einer Umgebung getestet werden, die der Produktivumgebung so weit wie möglich ähnelt. Sind Rechner gefunden, muss zuvor geklärt sein, ob es laut Hersteller bekannte Probleme gibt, die im Kontext des Firmennetzes gezielt getestet werden müssen.

Um die Usability zu bewerten, ist eine Prüfung wichtig, ob ein Patch einen Systemneustart erfordert.

Nach Beendigung der Installation sollte jeder Rechner genau so funktionieren wie vor der Installation, abgesehen von den durch den Patch vorgenommenen Änderungen.

Stufe V: Planung und Bewertung

Sobald der Zweck eines Patches, dessen Funktion sowie vorhandene Abhängigkeiten geklärt sind, kann die Planung der Verteilung beginnen. In dieser Phase kommen Informationen fast aller vorangegangenen Stufen des Patch-Managements zusammen: das Inventar des Netzwerks, Patchabhängigkeiten sowie das Installationsverhalten werden zu einem Verteilungsplan zusammengeführt.

Wurde ein Zeitplan ausgearbeitet, sollten nun Anwender über die geplante Verteilung von Updates informiert werden, insbesondere, wenn die Installation von Patches einen Neustart erfordert oder anderweitig einen kurzzeitigen Ausfall des Systems bedingt. Alle betroffenen Anwender müssen im Vorfeld informiert werden, dass der Server innerhalb des eingerichteten Wartungsfensters nicht zur Verfügung steht.

Stufe VI: Verteilung

Zur Verteilung gehört nicht nur die bloße Übertragung einer Installationsdatei an die Netzwerkrechner. Auf älteren Systemen ist es unter Umständen sinnvoll, zuerst einen vollständigen Virenscan durchzuführen.

Bevor eine Patchdatei gestartet und installiert wird, ist eine Verifikation der Datei unerlässlich; eine Datei kann an verschiedenen Punkten beschädigt und unbrauchbar werden, ob beabsichtigt oder nicht. Um die Integrität einer Datei sichern, stellen Hersteller oft Prüfsummen-Dateien oder Hashwerte für jede Patchdatei zur Verfügung, die mit der heruntergeladenen Datei abgeglichen werden können.

Nach der Verteilung hilft ein abschließender Bericht bei der Bewertung der Wirksamkeit der Patches sowie der Aufdeckung möglicher Schwierigkeiten. Die Patchverteilung aktiv zu beobachten ist wichtig: sollte die Installation eines Patches fehlgeschlagen, kann dies Auswirkungen auf die Installation folgender Patches haben, welche eine Abhängigkeit von dem Patch haben, dessen Installation fehlgeschlagen ist.

Stufe VII: Verifizierung und Reporting

Die Bewertungsphase direkt nach der Verteilung besteht aus den Protokollen des Verteilungsprozesses und eventuell aufgetretenen Fehlermeldungen sowie einer formellen Überprüfung, ob alle geplanten Verteilungen stattgefunden haben. Durch das Auffinden und Analysieren von Fehlern kann der Verteilungsprozess weiter optimiert werden.

Eine vollständige Software-Inventarisierung ist im Zuge der Patch-Management-Strategie bereits vorhanden. Durch eine Aktualisierung dieses Inventars und den Vergleich mit dessen Vorgängerversion ist eine genaue Prüfung möglich, ob das jeweilige Programm tatsächlich auf die gewünschte Version aktualisiert wurde.

Ein weiterer Weg, der zwar keine Automatisierung zulässt, aber wertvolle Informationen liefern kann, ob ein Patch korrekt verteilt wurde, ist die Einbeziehung des Anwenders. Indem der Administrator dem Anwender die Möglichkeit einräumt, Feedback zu Patches zu geben, hat er die Chance, Problemen auf die Spur zu kommen, die er selbst nicht oder nur schwer gefunden hätte. Die Rückmeldungen enthalten oft wertvolle Hinweise.

Es sollte immer eine technische Möglichkeit geben, einen Patch wieder rückgängig zu machen. Zwar sollten eventuelle technische Probleme bereits in der Testphase gefunden und ausgeräumt sein, allerdings gibt es in der Praxis immer wieder Fälle, in denen nach Einspielen des Patches entweder Beeinträchtigungen der Performance eintreten oder bestimmte Funktionen nicht mehr zur Verfügung stehen.

Praxishinweise

  • Als Teil der Patch-Management-Strategie sollten nur solche Programme installiert werden, die für den Geschäftsbetrieb notwendig sind. Dies minimiert die Angriffsfläche, die durch ausnutzbare Sicherheitsschwachstellen entsteht.
  • Benutzer sollten nicht die Möglichkeit haben, auf lokale Update- und Patcheinstellungen für installierte Programme Einfluss zu nehmen, um Diskrepanzen zu verhindern. In diesem Zuge sollte auch das automatisierte Update von Programmen deaktiviert werden.
  • Informationen über Update- und Patchzyklen sowie aktuelle Sicherheitslücken und andere Sicherheitsrisiken, können aus Drittanbieterquellen wie entsprechenden Nachrichten-Webseiten oder auch von Patch-Management-Programmen bezogen werden.

Unabhängige Internetseiten sowie staatlich geförderte Computer Emergency Response Teams (CERTs) sind ebenfalls eine wertvolle Informationsquelle. Die US-Heimatschutzbehörde veröffentlicht beispielsweise Aktualisierungen zu neuen Sicherheitslücken sowie nützliche Hintergrundinformationen auf ihrer Internetseite.


Siehe auch:
G DATA PatchManagement

Autor: Wagenaar, Abram

Anlass: Steigende Bedrohung und Komplexität durch Schadsoftware

Steigende Komplexität von Computersystemen und Softwarestrukturen bedeutet eine größere Anfälligkeit für Sicherheitslücken. Eine koordinierte Verteilung von Gegenmaßnahmen ist für den Schutz der Systeme unabdingbar. Abhilfe schaffen sogenannte Patch-Management-Systeme, die automatisiert für eine schnelle Verteilung sicherheitsrelevanter Updates sorgen.

Sachbereich: C2 Krisenmanagement/Gefahrenabwehr - Betriebliche Gefahrenabwehr

Schlagwörter: Patch, Patch Management, Cyber-Kriminelle, Updates, Schadsoftware, Hacker, Exploits

Weitere Artikel zu diesem Thema:
Patch Management – Sicherheitslücken schließen (I)
 
Datenklau: 1,2 Milliarden Datensätze erbeutet
 
Moderne Angriffsmethoden auf IT-Systeme
 

-